4G時代組播安全性探析

【摘要】 隨著第四代移動通信技術(shù)的不斷發(fā)展，以全球互聯(lián)網(wǎng)為代表的各種IP網(wǎng)絡(luò)得到了迅猛的發(fā)展。網(wǎng)絡(luò)帶寬越來越高，用戶數(shù)量越來越多，新類型的多媒體業(yè)務(wù)將成為新一輪運(yùn)營商競爭的焦點(diǎn)，采用傳統(tǒng)的客戶服務(wù)器模型將浪費(fèi)網(wǎng)絡(luò)資源，帶來了網(wǎng)絡(luò)擁擠問題。本文在介紹分析組播以及其安全性的基礎(chǔ)上，提出了一個基于IPSec技術(shù)的安全組播的解決方案。

【關(guān)鍵字】 4G IP組播 安全

一、IP組播原理概述

組播IP地址用于標(biāo)識一個IP組播組，其范圍是從224.0.0.0到239.255.255.255，IP組播地址前四位均為1110，224.0.0.0～224.0.0.255為預(yù)留的組播地址，地址224.0.0.0保留不做分配，其它地址供路由協(xié)議使用。224.0.1.0～238.255.255.255為用戶可用的組播地址，全網(wǎng)范圍內(nèi)有效。239.0.0.0～239.255.255.255為本地管理組播地址，僅在特定的本地范圍內(nèi)有效。

二、4G時代安全組播難點(diǎn)

組播是一種高效的多目標(biāo)傳輸機(jī)制，與單播系統(tǒng)比較，它可以節(jié)約占用的帶寬，緩解服務(wù)器以及網(wǎng)絡(luò)的負(fù)載，時提高系統(tǒng)的性能。組播的優(yōu)點(diǎn)使其在網(wǎng)絡(luò)應(yīng)用中占據(jù)越來越重要的地位，但是網(wǎng)絡(luò)的開放性給組播的安全帶來極大的威脅。（1）組成員資格控制：組成員資格過一段時間就會發(fā)生變化，為了實(shí)現(xiàn)訪問控制，它就必須能夠鑒別所有可能的組成員的身份。（2）組驗(yàn)證：為了確保接收數(shù)據(jù)的真實(shí)性和完整性需要進(jìn)行組驗(yàn)證，為了達(dá)到組驗(yàn)證的目的，我們遵循通常所使用的組數(shù)據(jù)驗(yàn)證的途徑，以保證信息在存儲、傳輸和使用中不被篡改。（3）源驗(yàn)證：這取決于組成員檢驗(yàn)數(shù)據(jù)發(fā)送者身份的能力。用戶需要確定信息的來源是正確的，不是經(jīng)過偽造篡改的，同時也可防止信息發(fā)送者的抵賴。

三、IPSec加密技術(shù)

IPSec并不是一個單一的協(xié)議或算法，它是一系列加密實(shí)現(xiàn)中使用的加密標(biāo)準(zhǔn)定義的集合。IPSec實(shí)現(xiàn)在IP層的安全，因而它與任何上層應(yīng)用或傳輸層的協(xié)議無關(guān)。IPSec在IP報文中使用一個新的IPSec的報頭來封裝信息。新的IPSec報文包含IP報文認(rèn)證的信息，原始IP報文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否?？梢耘渲肐PSec封裝完整的IP數(shù)據(jù)報或只是上層信息。IPSec建立在兩個基本概念之上：安全協(xié)議、密鑰管理。

四、組播加密方案的實(shí)現(xiàn)

4.1 IPSec不支持組播加密的原因

IPSec是在IP層保護(hù)點(diǎn)到點(diǎn)流量的通用機(jī)制。IPSec主要通過封裝安全栽荷（ESP）和驗(yàn)證頭（AH）協(xié)議來保護(hù)流量，要使用ESP和AH協(xié)議，就需要在IPSec的源端點(diǎn)和目的端點(diǎn)之間建立安全聯(lián)盟，這個工作一般是由因特網(wǎng)密鑰交換協(xié)議（IKE）來完成的。

4.2 基于IPSec的組播加密方案

步驟一：.組播源節(jié)點(diǎn)接收節(jié)點(diǎn)的創(chuàng)建安全聯(lián)盟SA請求，判斷當(dāng)前請求節(jié)點(diǎn)所屬組是否已存在共享CHILD—SA，如果已存在，則執(zhí)行步驟二；否則，組播源節(jié)點(diǎn)與當(dāng)前請求節(jié)點(diǎn)創(chuàng)建安全聯(lián)盟，生成共享CHILD—SA，為其所屬組的傳播節(jié)點(diǎn)。步驟二：通知當(dāng)前請求節(jié)點(diǎn)從其所屬組的傳播節(jié)點(diǎn)獲取共享CHILD-SA；當(dāng)前請求節(jié)點(diǎn)判斷是否已與本組傳播節(jié)點(diǎn)建立安全聯(lián)盟，如果是，則使用已建立的安全聯(lián)盟；否則，先與本組傳播節(jié)點(diǎn)建立兩點(diǎn)間的安全聯(lián)盟。

上述方案中，步驟一中所述記錄當(dāng)前請求節(jié)點(diǎn)為其所屬組播組和所屬組播子組的傳播節(jié)點(diǎn)；步驟二具體包括：確定當(dāng)前請求節(jié)點(diǎn)所屬組播子組，判斷該組播子組是否已存在傳播節(jié)點(diǎn)，如果存在，則通知當(dāng)前請求節(jié)點(diǎn)從其所屬組播子組的傳播節(jié)點(diǎn)獲取共享CHILD-SA；當(dāng)前請求節(jié)點(diǎn)判斷是否已與本組播子組傳播節(jié)點(diǎn)建立安全聯(lián)盟，如果是，則使用已建立的安全聯(lián)盟；否則，先與本組播子組傳播節(jié)點(diǎn)建立兩點(diǎn)間的安全聯(lián)盟；當(dāng)前請求節(jié)點(diǎn)向本組播子組的傳播節(jié)點(diǎn)發(fā)送獲取請求，本組播子組的傳播節(jié)點(diǎn)使用兩點(diǎn)間建立的安全聯(lián)盟將共享CHILD-SA發(fā)送給當(dāng)前請求節(jié)點(diǎn)。因此，本文所提供的實(shí)現(xiàn)組安全聯(lián)盟共享的方法，對現(xiàn)有的IKE進(jìn)行了擴(kuò)展，組播源節(jié)點(diǎn)只與組播組中的某個節(jié)點(diǎn)創(chuàng)建安全聯(lián)盟、生成共享 CHILD-SA，該組中的其它節(jié)點(diǎn)再向組播源節(jié)點(diǎn)發(fā)送創(chuàng)建SA請求時，組播源節(jié)點(diǎn)只需通知該請求節(jié)點(diǎn)向已生成CHILD-SA的節(jié)點(diǎn)索取，該請求節(jié)點(diǎn)再采用現(xiàn)有IKE與已生成CHlLD-SA節(jié)點(diǎn)創(chuàng)建兩點(diǎn)間的SA并獲取共享CHILD-SA，如此，不僅能夠在IPSec框架下以盡量少地改動支持多播節(jié)點(diǎn)共享同一SA，而且避免了每個組成員都與組播源節(jié)點(diǎn)創(chuàng)建SA、生成CHILD-SA所帶來的大量資源消耗。

五、結(jié)束語

與傳統(tǒng)的單播相比，組播占用的帶寬要小，同時它可以在不同的網(wǎng)絡(luò)結(jié)構(gòu)上實(shí)現(xiàn)，也可以在不同的網(wǎng)絡(luò)層次上實(shí)施，在應(yīng)用上其范圍也是極其廣泛的。但是對于組播系統(tǒng)的安全性來說，還存在許多尚未解決的問題。本文利用單播系統(tǒng)中已有的成熟的安全技術(shù)IPSec，分析組播組特殊的安全需求，為組播的實(shí)際應(yīng)用提出了一個可行性較高的方案。

參 考 文 獻(xiàn)

[1] 《IP組播與安全》，周賢偉，國防工業(yè)出版社

[2] 《IPsec and Security》，Sheila Frankel，NIST

[3] 《4G： LTE/LTE-Advanced for Mobile Broadband》，Erik Dahlman、Stefan Parkvall、Johan Skold，AP